一般保护故障

Question

如何检测导致GPF的进程？

Answer 1

我不确定我是否理解你的问题。 GPF - 是处理器发出中断的情况。

如果这种情况发生在用户模式中 - 它会被转换为 SEH 异常，而该异常又可以由进程处理。如果不处理 - 进程就会“崩溃”。意味着 - 显示一个丑陋的消息框并且进程被终止（根据设置，进程也可能被调试，生成调试转储等）

如果这种情况发生在内核模式 - 有两种可能性。如果这种情况发生在允许异常的上下文中，则会引发并处理 SEH 异常（类似于用户模式）。但是，如果未处理异常，或者发生 GPF 的上下文不允许异常 - 操作系统将关闭，显示所谓的 BSOD（蓝屏死机）。

现在关于你的问题，我看到了几种可能性：

• 操作系统死了，你想知道哪个进程进行了系统调用，导致内核模式下的 GPF。
  这可以通过附加的内核调试器来发现。您还将看到导致错误的驱动程序。
• GPF 发生在进程内的用户模式中，并且不被处理。
  这个进程将会崩溃，你一定会知道那是哪个进程。
• GPS 发生在流程内部，经过处理，流程继续运行。您希望收到有关此事的通知。
  为此，您可以使用调试器附加到进程。每当进程内部发生 SEH 异常时，操作系统就会通知调试器。